Advertisement

Informationsanalysekonzept zur Erstellung von Cyber-Lagebildern in PPPs

  • Peter KiesebergEmail author
  • Florian Skopik
  • Timea Pahi
  • Maria Leitner
  • Roman Fiedler
Chapter

Zusammenfassung

Jedes informationsverarbeitende System ist in seiner Qualität sehr stark von der Verarbeitung der gesammelten Informationen abhängig. Speziell zur Konstruktion eines sinnvollen Lagebilds ist die Bewertung und Aggregierung von Daten von besonderer Bedeutung, um Muster und Gemeinsamkeiten scheinbar isolierter Incidents erkennen und darstellen zu können. Zusätzlich wird durch die potenzielle Einbindung automatisiert gesammelter Informationen, wie bspw. durch Sensoren in kritischen Netzabschnitten und wichtigen Infrastrukturen, die Informationsmenge exponentiell erhöht.

Im Rahmen dieses Kapitels stellen wir eine Architektur vor, die den Ansprüchen eines modernen Lagezentrums genügt, wobei auch auf österreichische Spezifika, wie die Einbindung von sog. „First Respondern“, Rücksicht genommen wird. Die vorgestellte Architektur integriert dabei die Informationssammlung direkt bei den Zuständigen in den kritischen Infrastrukturen mit der Unterstützung durch die First Responder bei der Behandlung von Incidents, sowie die weitere Anreicherung erhobener Daten und Informationen in den Lagezentren. Dazu werden die benötigten Datenartefakte spezifiziert, sowie die Kommunikationsschnittstelle definiert. Basierend auf den Rahmenbedingungen wird die grundlegende Architektur, sowie die Informationswege und Datenverarbeitung vorgestellt, wobei besonders auf die frühzeitige Integration von Security-Mechanismen Wert gelegt wird. Speziell die Datenanreicherung des in diesem Kapitel vorgestellten Systems zielt nicht auf eine lediglich rein durch manuelle (Pflicht-)Meldungen entstehende Datenbasis ab, sondern dient der effizienten Einbindung potenziell großer Mengen an sensorischer Information. Zusätzlich zu diesen originären Informationen, ist auch die Einbindung von Hintergrundinformationen und Expertenwissen vorgesehen, womit nicht nur die Generierung eines rein reaktiven, Incident-basierten, sondern eines proaktiven wissensbasierten Lagebilds ermöglicht wird. Dies ermöglicht es den Zuständigen, nicht nur rein auf der Basis von gemeldeten Angriffen Entscheidungen zu treffen, sondern auf der einen Seite die eigenständige Erkennung von Angriffen auf kritische Komponenten und Systeme, sowie, auf der anderen Seite, die Einschätzung der Sicherheitslage in Bezug auf mögliche Angriffe und Schwachstellen, die potenzielle Auswirkungen auf kritische Infrastrukturen nach sich ziehen, durchzuführen.

Wesentlich für die effiziente Generierung eines Lagebilds ist nicht nur die reine Sammlung und Aggregierung von Informationen, sondern der gesamte Datenlebenszyklus, speziell auch die Erkennung und Entfernung widersprüchlicher alter oder falscher Informationen aus dem System. Zusätzlich müssen einfache Hilfsmittel zur schnellen Spezifikation neuer Auswertungsstrategien definiert werden können, die es ermöglichen, dynamisch auf neue Bedrohungsszenarien eingehen zu können.

Des Weiteren stellt ein derartiges System selbst auch ein wesentliches Ziel für mögliche Angreifer dar, wobei vor allem die unbemerkte Einflussnahme auf Entscheidungsträger durch Manipulation des Lagebilds der wesentlichste betrachtete Angriffsvektor ist. Essenziell ist daher auch die Absicherung des Systems auf architektonischer Ebene gegen diese Art der Manipulation. Dabei muss sowohl auf extern Angreifer Rücksicht genommen werden, die bspw. durch gefälschte Daten Einfluss auf das Ergebnis zu erlangen versuchen als auch auf interne Angreifer, die direkt die Datenbasis zu manipulieren versuchen könnten. Letztere sind speziell problematisch, da sie auch Ergebnisse von Anreicherungsprozessen entsprechend manipulieren können. Zusätzlich unterstützt das vorgestellte System das im Rahmen der Datenschutzgrundverordnung (DSGVO) „Regulation 2016/679“ und abgeleiteter nationaler Regularien geforderte „Recht auf Vergessen“, d. h. die Löschung etwaiger sensibler Daten Unbeteiligter.

Abgerundet wird das Kapitel durch einen Ausblick auf weitere erforderliche Arbeiten in diesem Forschungsfeld, wobei speziell die tatsächliche Rechtsprechung zur DSGVO und abgeleiteten nationalen Gesetzen wesentliche Inputgeber sind.

Literatur

  1. (Balboni, 2013) Balboni, Paolo, and Milda Macenaite. “Privacy by Design and anonymisation techniques in action: Case study of Ma3tch technology”. Computer Law & Security Review 29, no. 4 (2013): 330-340.CrossRefGoogle Scholar
  2. (Barnum, 2012) Barnum, Sean. “Standardizing cyber threat intelligence information with the Structured Threat Information eXpression (STIX™)”. MITRE Corporation 11 (2012): 1-22.Google Scholar
  3. (Bragg, 2004) Bragg, R., 2004. Hardening windows systems. McGraw-Hill/Osborne.Google Scholar
  4. (Case, 1990) Case, Jeffrey D., Mark Fedor, Martin L. Schoffstall, and James Davin. Simple network management protocol (SNMP). No. RFC 1157. 1990.Google Scholar
  5. (Daemen, 2013) Daemen, Joan, and Vincent Rijmen. The design of Rijndael: AES-the advanced encryption standard. Springer Science & Business Media, 2013.Google Scholar
  6. (Dierks, 2008) Dierks, Tim. “The transport layer security (TLS) protocol version 1.2”. (2008).Google Scholar
  7. (Directive 2016/1148) Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the UnionGoogle Scholar
  8. (Downward, 1980) Downward, J. G. SYSLOG: an accounting and performance measurement system for RSX11M V3. 2. No. KMSF-U-970; CONF-800414-4. KMS Fusion, Inc., Ann Arbor, MI (USA), 1980.Google Scholar
  9. (Fasan, 2012) Fasan, Oluwasola Mary, and Martin Olivier. “Reconstruction in database forensics”. In IFIP International Conference on Digital Forensics, pp. 273-287. Springer, Berlin, Heidelberg, 2012.Google Scholar
  10. (Frühwirt, 2010) Frühwirt, Peter, Marcus Huber, Martin Mulazzani, and Edgar R. Weippl. “Innodb database forensics”. In Advanced Information Networking and Applications (AINA), 2010 24th IEEE International Conference on, pp. 1028-1036. IEEE, 2010.Google Scholar
  11. (Frühwirt, 2012) Frühwirt, Peter, Peter Kieseberg, Sebastian Schrittwieser, Markus Huber, and Edgar Weippl. “Innodb database forensics: Reconstructing data manipulation queries from redo logs”. In Availability, Reliability and Security (ARES), 2012 Seventh International Conference on, pp. 625-633. IEEE, 2012.Google Scholar
  12. (Frühwirt, 2013) Frühwirt, Peter, Peter Kieseberg, Sebastian Schrittwieser, Markus Huber, and Edgar Weippl. “InnoDB database forensics: Enhanced reconstruction of data manipulation queries from redo logs”. Information Security Technical Report 17, no. 4 (2013): 227-238.CrossRefGoogle Scholar
  13. (Fruehwirt, 2014) Peter Fruehwirt and Peter Kieseberg and Katharina Krombholz and Edgar R. Weippl, “Towards a forensic-aware database solution: Using a secured database replication protocol and transaction management for digital investigations,” Digital Investigation, vol. 11, pp. 336-348, 2014CrossRefGoogle Scholar
  14. (Gerhards, 2009) Gerhards, Rainer. “The syslog protocol”. (2009).Google Scholar
  15. (Haerder, 1983) Haerder, Theo, and Andreas Reuter. “Principles of transaction-oriented database recovery”. ACM Computing Surveys (CSUR) 15, no. 4 (1983): 287-317.MathSciNetCrossRefGoogle Scholar
  16. (Heady, 1990) Heady, Richard, George F. Luger, Arthur Maccabe, and Mark Servilla. The architecture of a network level intrusion detection system. University of New Mexico. Department of Computer Science. College of Engineering, 1990.Google Scholar
  17. (Johnson, 2001) Johnson, Don, Alfred Menezes, and Scott Vanstone. “The elliptic curve digital signature algorithm (ECDSA)”. International Journal of Information Security 1, no. 1 (2001): 36-63.CrossRefGoogle Scholar
  18. (Knuth, 1997) Knuth, Donald E. “The art of computer programming, volume 2: seminumerical algorithms”. Chapter 3 “Random Numbers” (1997).Google Scholar
  19. (Krombholz, 2015) Krombholz, Katharina, Heidelinde Hobel, Markus Huber, and Edgar Weippl. “Advanced social engineering attacks”. Journal of Information Security and applications 22 (2015): 113-122.CrossRefGoogle Scholar
  20. (Kroon, 2013) Kroon, Udo. “Ma3tch: Privacy and knowledge:‘Dynamic networked collective intelligence’”. In Big Data, 2013 IEEE International Conference on, pp. 23-31. IEEE, 2013.Google Scholar
  21. (Lau, 2000) Lau, Felix, Stuart H. Rubin, Michael H. Smith, and Ljiljana Trajkovic. “Distributed denial of service attacks”. In Systems, Man, and Cybernetics, 2000 IEEE International Conference on, vol. 3, pp. 2275-2280. IEEE, 2000.Google Scholar
  22. (Lee, 1998) Lee, Wenke, and Salvatore J. Stolfo. “Data mining approaches for intrusion detection”. In USENIX Security Symposium, pp. 79-93. 1998.Google Scholar
  23. (Luiijf, 2015) Luiijf, H. A. M., and A. C. Kernkamp. Sharing Cyber Security Information: Good Practice Stemming from the Dutch Public-Private-Participation Approach. TNO, 2015.Google Scholar
  24. (Menezes, 1996) Menezes, Alfred J., Paul C. Van Oorschot, and Scott A. Vanstone. Handbook of applied cryptography. CRC press, 1996.Google Scholar
  25. (Mepham, 2014) Mepham, Kevin, Panos Louvieris, Gheorghita Ghinea, and Natalie Clewley. “Dynamic cyber-incident response”. In Cyber Conflict (CyCon 2014), 2014 6th International Conference On, pp. 121-136. IEEE, 2014.Google Scholar
  26. (Monshizadeh, 2014) Monshizadeh, Maliheh, Prasad Naldurg, and V. N. Venkatakrishnan. “Mace: Detecting privilege escalation vulnerabilities in web applications”. In Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, pp. 690-701. ACM, 2014.Google Scholar
  27. (Provos, 2003) Provos, Niels, Markus Friedl, and Peter Honeyman. “Preventing Privilege Escalation”. In USENIX Security Symposium. 2003.Google Scholar
  28. (Rahm, 2000) Rahm, Erhard, and Hong Hai Do. “Data cleaning: Problems and current approaches”. IEEE Data Eng. Bull. 23, no. 4 (2000): 3-13.Google Scholar
  29. (Regulation 2016/679) Regulation (Eu) 2016/679 Of The European Parliament And Of The Council Of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)Google Scholar
  30. (Richtlinie 2013/36/EU) RICHTLINIE 2013/36/EU DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EGGoogle Scholar
  31. (Rosen, 2011) Rosen, Jeffrey. “The right to be forgotten”. Stan. L. Rev. Online 64 (2011): 88.Google Scholar
  32. (Sarbanes, 2002) Sarbanes, Paul. “Sarbanes-oxley act of 2002”. In The Public Company Accounting Reform and Investor Protection Act. Washington DC: US Congress. 2002.Google Scholar
  33. (Schneier, 1998) Schneier, Bruce, John Kelsey, Doug Whiting, David Wagner, Chris Hall, and Niels Ferguson. “Twofish: A 128-bit block cipher”. NIST AES Proposal 15 (1998).Google Scholar
  34. (Tadda, 2006) Tadda, George, John J. Salerno, Douglas Boulware, Michael Hinman, and Samuel Gorton. “Realizing situation awareness within a cyber environment”. In Multisensor, Multisource Information Fusion: Architectures, Algorithms, and Applications 2006, vol. 6242, p. 624204. International Society for Optics and Photonics, 2006.Google Scholar
  35. (Tadda, 2010) Tadda, George P., and John S. Salerno. “Overview of cyber situation awareness”. Cyber situational awareness (2010): 15-35.Google Scholar
  36. (Thonnard, 2012) Thonnard, Olivier, Leyla Bilge, Gavin O’Gorman, Seán Kiernan, and Martin Lee. “Industrial espionage and targeted attacks: Understanding the characteristics of an escalating threat”. Research in attacks, intrusions, and defenses (2012): 64-85.Google Scholar
  37. (Villaronga, 2017) Villaronga, Eduard Fosch, Peter Kieseberg, and Tiffany Li. “Humans forget, machines remember: Artificial intelligence and the right to be forgotten”. Computer Law & Security Review (2017).Google Scholar

Copyright information

© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2018

Authors and Affiliations

  • Peter Kieseberg
    • 1
    Email author
  • Florian Skopik
    • 2
  • Timea Pahi
    • 3
  • Maria Leitner
    • 4
  • Roman Fiedler
    • 5
  1. 1.SBA ResearchWienÖsterreich
  2. 2.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  3. 3.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  4. 4.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  5. 5.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich

Personalised recommendations